簡介
所謂的釣魚Wifi就是一個假的無線熱點,當你的無線設備連線上去時,會被對方反掃描,如果這時你的手機正好連在什麼網站上進行了數據通信,且涉及到了用戶名密碼等數據,對方就會獲得你的用戶名和密碼。還有這些口令也會被嗅探到:TELNET、FTP、POP、RLOGIN、SSH1、ICQ、SMB、MySQL、HTTP、NNTP、X11、 NAPSTER、IRC、RIP、BGP、SOCK5、IMAP4、VNC、LDAP、NFS、SNMP、HALFLIFE、QUAKE3、 MSNYMSG。嚴重點還可能被人進行ARP欺騙然後掛馬。
概述
釣魚Wi-Fi ,愈來愈多的網友通過公共場所的Wi-Fi來獲取資訊,不成想“蹭網”有風險,網上曝出Wi-Fi也能“釣魚”竊取網銀賬號、密碼等的訊息,專家表示通過Wi-Fi進行網路支付網友只要選擇來源明確的網路,
操作方法正確,再結合銀行最新的加密和認證手段,可確保賬戶安全。
安全隱患
騰訊安全WiFi聯盟的數據顯示,全球約10%的人口正在使用WiFi,作為全球最大的市場之一,中國目前公共場所WiFi熱點復蓋至少超過千萬個,這項服務幾乎已經成為了公共場所服務範圍內的標準配置。
據騰訊手機管家《愛蹭WIFI的人必看》報告顯示,在Android聯網用戶中,高達49.75%的人用WIFI聯網,86.03%的用戶最愛用WIFI聊天,67.23%的人認為WIFI聯網的最大問題是速度慢,62.05%的人吐槽WIFI連線麻煩需要密碼,而有49.14%的人擔心WIFI的安全問題。
騰訊手機管家安全專家分析,虛假WiFi釣魚是當前免費WiFi的主要安全風險, 315晚會現場黑客盜取用戶隱私的主要方法就是利用了虛假WiFi釣魚的手法。所謂虛假WiFi釣魚,是指犯罪分子通過架設一個與某公共WiFi熱點同名的WiFi網路,吸引用戶通過移動設備接入該網路,然後就可以通過分析軟體竊取這些接入虛假WiFi熱點用戶的資料,包括WiFi登錄密碼,從而成功破譯。
而且通過這一手段,還能竊取到用戶的銀行賬戶、網路支付賬戶密碼,從而實施資金的盜刷。除了虛假WiFi釣魚外,“DNS劫持”、“ARP欺騙攻擊”等黑客攻擊手段也會被用來在免費WiFi網路下對在網用戶進行惡意攻擊,導致網路癱瘓、竊取網購支付賬號密碼等。
竊取途徑
在星巴克、麥當勞這些提供免費Wi-Fi的公共場合,用一台Win7系統電腦、一套無線網路及一個網路包分析軟體,15分鐘就可以竊取手機上網用戶的個人信息和密碼,網銀、支付寶密碼等,請大家不要在公共場合進行網購和轉賬等操作。
所謂“釣魚Wi-Fi”的事件曾在2012年2月份出現,UC瀏覽器被爆出存在安全漏洞,才是造成用戶密碼信息可能被竊取的主要原因。如果手機沒有存在安全漏洞,無需擔心密碼被竊取。
有不少賬戶被盜的案例是因為訪問了釣魚網站。公共Wi-Fi提供了植入釣魚網站的可能性,利用ARP(地址解析協定,是在僅知道主機的IP位址時確定其物理地址的一種協定欺騙),可以在用戶瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。從這個角度說,公共Wi-Fi網路為不法分子提供了一個便利的釣魚環境。
應對措施
惡意的公共Wi-Fi被“釣魚”的可能性增加,那正規的網路銀行已採取加密和認證手段來“禁止”黑客,只要用戶正確操作,黑客是無法獲取網銀和支付寶等密碼的。
用戶通過手機客戶端程式使用手機銀行時,通過WAP(為無線套用協定,是一項全球性的網路通信協定)方式與銀行系統建立聯繫,並進行賬戶查詢、轉賬、繳費付款、消費支付等金融服務。與一般上網方式不同,WAP方式中手機銀行的賬戶信息是經過靜態加密處理的,更加安全。
手機銀行的認證手段也能有效防範他人冒用賬號和密碼。認證手段是審查接收數據的人是否為授權用戶、數據是否篡改,用來保證數據是真實可靠的,使用者是被授權的。
當通過工商銀行進行涉及賬戶資金變動的操作時,輸入賬號和密碼後,銀行會提示輸入特定的電子口令,這些方法都能有效杜絕賬號被盜後的使用。
個人網上銀行則會採用https的加密協定來保障交易安全。當用戶在電腦上使用個人網上銀行時,頁面跳轉到賬戶信息輸入,網址欄就由http變為https,而且在最後還多了一隻“小掛鎖”,這表示只有銀行方面才能正確解密。同樣的用電腦通過https方式訪問個人網上銀行時,也有認證手段的保護,例如口令卡和U盾。
安全指南
1、拒絕來路不明的Wi-Fi 儘量選擇三大運營商和商家提供的熱點,安全性較高而且速度快,用戶可以通過電話或簡訊,免費獲取Wi-Fi賬號和密碼,但在登錄前也應與商家核對Wi-Fi的具體名稱。
2、改變上網習慣 對於智慧型手機用戶來說,Wi-Fi連線方式建議設定為手動,或者關閉Wi-Fi自動連線功能。使用瀏覽器登錄網站時,如果碰到需要用戶輸入賬戶名和密碼並彈出“是否記住密碼”選項框的情況,避免選擇“記住密碼”,因為“記住密碼”會將用戶的賬號存儲到瀏覽器的快取資料夾中,方便黑客竊取。
3、及時升級軟體,安裝防火牆 用戶在使用非加密的Wi-Fi網路或者陌生的Wi-Fi網路時,最好提前在筆記本電腦或智慧型手機中安裝一些安全防範軟體以作提防。同時,安裝ARP防火牆能提高安全性能。
4、.登錄網銀選用專業程式 使用手機登錄手機銀行或者支付寶等金融服務類網站時,最好不要直接通過手機瀏覽器進行,儘量使用銀行或者第三方支付公司推出的專用應用程式,如無法保證安全性,就儘量避免從事一些涉及資金的操作。
WIFI安全使用建議
第一,謹慎使用公共場合的WIFI熱點。官方機構提供的而且有驗證機制的WiFi,可以找工作人員確認後連線使用。其他可以直接連線且不需要驗證或密碼的公共WiFi風險較高,背後有可能是釣魚陷阱,儘量不使用。
第二,使用公共場合的WIFI熱點時,儘量不要進行網路購物和網銀的操作,避免重要的個人敏感信息遭到泄露,甚至被黑客銀行轉賬。
第三,養成良好的WIFI使用習慣。手機會把使用過的WIFI熱點都記錄下來,如果WiFi開關處於打開狀態,手機就會不斷向周邊進行搜尋,一旦遇到同名的熱點就會自動進行連線,存在被釣魚風險。因此當我們進入公共區域後,儘量不要打開WIFI開關,或者把WiFi調成鎖屏後不再自動連線,避免在自己不知道的情況下連線上惡意WIFI。
第四,家裡路由器管理後台的登錄賬戶、密碼,不要使用默認的admin,可改為字母加數字的高強度密碼;設定的WIFI密碼選擇WPA2加密認證方式,相對複雜的密碼可大大提高黑客破解的難度。
第五,不管在手機端還是電腦端都應安裝安全軟體。對於黑客常用的釣魚網站等攻擊手法,安全軟體可以及時攔截提醒。日前,騰訊安全攜手邁外迪、光音網路、維盟、潮Wi-Fi等商用Wi-Fi服務提供商,成立“騰訊安全Wi-Fi聯盟”。為了方便用戶上網,裝有騰訊手機管家的手機能夠自動搜尋和連線識別為安全的Wi-Fi熱點,實現一鍵連線。騰訊手機管家還開放安全能力,使得騰訊安全Wi-Fi聯盟提供真假熱點識別、數據傳輸加密保護、DNS保護三大專業保障來為用戶提供上網安全。
Wi-Fi安全報導
9月17日,騰訊正在參與打造安全Wi-Fi服務標準,並宣布與邁外迪、光音網路等國內數家商用Wi-Fi服務提供商以及星巴克、萬達廣場等商家成立"騰訊安全Wi-Fi聯盟"。
該聯盟的成立,將加速免費WiFi全國布局,助力國家國家"數字城市"戰略同時,期望由此逐步規範免費Wi-Fi服務接入標準,為網民提供隨時隨地安全上網的WiFi服務。